Czyli o tym jak niektórzy administratorzy (czy to administracja publiczna czy przedsiębiorcy) uznali, że niezależnie od tego w jakim celu przetwarzają nasze dane osobowe muszą odebrać od nas zgodę. My oczywiście takiej zgody udzielamy, często bez świadomości, że administrator (urząd, szkoła, szpital, dostawca internetu) może a nawet musi przetwarzać nasze dane i takiej zgody od nas nie potrzebuje. Zacznijmy od przykładów znalezionych na stronach kilku organów publicznych, w dokumentach pracodawców czy podanych w sieci: 1.Przykładowy Załącznik do Regulaminu Zakładowego Funduszu Świadczeń Socjalnych (ZFŚS) u pracodawcy (urząd) w postaci wniosku a w nim: "Wyrażam zgodę na przetwarzanie danych osobowych do celów realizacji niniejszego wniosku”. 2. Formularz wniosku o dostęp do informacji na stronie Ministerstwa Sprawiedliwości a tam: "Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w niniejszym formularzu przez Ministra Sprawiedliwości z siedzibą w Warszawie, Al. Ujazdowskie 11 w związku z postępowaniem z zakresu dostępu do informacji publicznej**" potem pouczenie, że "W przypadku niewyrażenia zgody Ministerstwo Sprawiedliwości nie ma możliwości rozpatrzenia wniosku." https://bip.ms.gov.pl/pl/kontakt/informacja-publiczna/ 3. Wysyłanie deklaracji e-pit za pomocą formularza udostępnionego przez Ministerstwo Finansów (przykład: pierwsza zgoda na załączonym obrazie) 4. Dokonywanie płatności za pomocą serwisu (a więc umowa) – stan na czerwiec 2018 (przykład: druga zgoda na załączonym obrazie) 5. Odbieranie przez pracodawcę od pracownika zgód na przetwarzanie danych osobowych do celów obsługi kadrowej czy przez szkołę od rodzica dziecka zgody na przetwarzanie danych do celów realizacji procesu dydaktyczno-wychowawczego. W żadnym z powyższych przypadków ci administratorzy (ministerstwa a ściślej ministrowie, szkoły, pracodawcy, firmy) nie powinni odebrać od nas w tych sytuacjach zgód na przetwarzanie danych osobowych. Co więcej- w przypadku ministerstw mamy de facto do czynienia z wymuszeniem zgód, czyli z problemem którego by nie było gdyby z takim uporem wszędzie tych zgód nie odbierano. Dlaczego to taka ważna sprawa i właściwie na czym polega różnica-ktoś zapyta. Otóż zgoda na przetwarzanie danych osobowych (zgodnie z art. 6 RODO) to tylko jedna z 6 podstaw przetwarzania tych danych. Pozostałe podstawy to: - przetwarzanie jest niezbędne do wykonania umowy- wyżej wskazany przykład serwisu płatności czy jakiejkolwiek innej umowy (usługi, media np. TV kablowa czy internet, sprzedaż towaru) - przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze – prawny obowiązek administratora (pracodawcy, szkoły, ministerstwa) to np. zgłoszenie pracownika do ubezpieczenia w ZUS, to nauka, opieka nad dzieckiem w szkole, realizacja świadczeń z ZFŚS jeśli pracodawca miał obowiązek go stworzyć, rozliczenie podatku, udzielenie odpowiedzi na wniosek o udostępnienie informacji publicznej – na realizację tych obowiązków administratorzy nie potrzebują dodatkowo jeszcze naszej zgody i nie powinni jej żądać. - przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej – np. ratowanie czyjegoś życia czy zdrowia w trakcie wypadku czy zasłabnięcia (grupa krwi, dane kontaktowe) - przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi – wywóz śmieci, dostarczanie mediów typu energia cieplna, woda. - przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora –konieczność zapewnienia bezpieczeństwa (rejestracja wjazdów na posesję, monitoring wizyjny, dochodzenie roszczeń). Podstawy przetwarzania danych szczególnych kategorii (tzw. danych wrażliwych) zawiera z kolei art. 9 RODO. Zgodę więc odbieramy tylko wówczas, gdy nie zachodzą wyżej wymienione przesłanki/podstawy do przetwarzania danych osobowych. Takich praktyk chciał również zakazać Parlament Europejski w pierwotnej wersji RODO gdy zgoda jest odbierana w sytuacji nierówności stron (administracja publiczna-osoba fizyczna czy podmiot, z którym zawarto umowę-osoba fizyczna). Pierwszy więc problem w przypadku kilku z w/w zgód to problem jej dobrowolności – jeśli jako podmiot danych jej nie wyrażę, nie muszę spodziewać się negatywnych skutków jej braku. Tymczasem Ministerstwo Sprawiedliwości oświadcza, że jeśli nie wyrazimy zgody nie odpowie na wniosek o udostępnienie informacji publicznej, co przecież jest jego obowiązkiem. Oczywiście przy okazji organ zobowiązany do udzielenia odpowiedzi na taki wniosek popada w bezczynność i naraża się na skargę do sądu administracyjnego ale widocznie komuś (gdzie jest IOD??!!) to umknęło. Pojawia się i drugi problem tj. zagadnienie skutków odebrania takiej zgody (pomijając już to czy spełnia ona warunki jakim wg RODO powinna odpowiadać). Podstawowy skutek odebrania zgody jest taki, że osoba której dane dotyczą ma prawo w dowolnym momencie wycofać swoją zgodę. To jeszcze nic ponieważ cofnięcie zgody pozostaje bez wpływu na zgodność przetwarzania danych przed jego dokonaniem. Jednak wyobraźmy sobie, że wraz cofnięciem zgody osoba fizyczna zażąda usunięcia jej danych osobowych w oparciu o art. 17 ust 1.pkt b RODO („prawo do bycia zapomnianym”) –oczywiście w/w wymienionych sytuacjach administrator nie uczyni zadość takiemu żądaniu i nie usunie tych danych bo istnieją inne podstawy przetwarzania danych ale administrator wprowadza w błąd osobę, której dane dotyczą. Dlatego tak ważnym jest posiadanie przez administratora wykwalifikowanego Inspektora Ochrony Danych (IOD), który potrafi krytycznie podejść do dotychczasowych procedur stosowanych przez administratora. Taki IOD może wspomóc administratora z korzyścią i dla tego ostatniego i dla praw osób, których dane są przetwarzane. Autor artykułu: Prawnik Tomasz Ptak - dział RODO Więcej ciekawych wpisów odnajdą Państwo śledząc Klub RODO na FB: www.facebook.com/KlubRODO/
Zobacz nasze pozostałe posty z tamatu RODO: